近期,一款名为OpenClaw的开源AI智能体在互联网上迅速走红,其图标以龙虾为设计灵感,被广大网友戏称为“小龙虾”。它能够在本地计算机上自动化处理文件管理、邮件收发和数据分析等任务,犹如一位全天候在线的私人助理,实用性强,因此吸引了大量个人开发者和技术爱好者纷纷部署尝试。

针对这一波“养龙虾”热潮,小盾未来安全研究院高级研究员钟成在接受《科技日报》采访时指出,OpenClaw作为开源工具,在提供便捷功能的同时,其部署和应用仍潜在安全风险。他提醒用户,在体验创新服务时,应始终将安全意识放在首位。

“龙虾”背后有哪些潜在风险?

钟成介绍道,OpenClaw的架构设计允许其调用本地系统资源执行任务,这种能力本身是其价值所在,但也对运行环境提出了一定要求。综合当前的技术反馈,以下几个方面需要用户加以关注:

端口配置问题

OpenClaw默认或示例配置中可能开启某些网络服务,如果用户在部署时将其直接暴露在公网且未设访问控制,可能会带来黑客远程接管设备、非法授权访问的风险。

系统权限设置

该智能体在执行任务时需要获取文件读写、系统调用等权限,若在安装或使用过程中授予过高权限,一旦遇到程序异常或遭遇恶意指令,可能会造成本地数据误删等风险。

警惕外部渠道风险

作为开源项目,该智能体支持扩展插件,但非官方渠道的插件可能暗藏木马。此外,由于智能体具备阅读屏幕和文档的能力,若其接触到含有恶意指令的网页或邮件,可能触发“提示词注入”攻击,诱导智能体执行转账、删除等非法操作。同时,警惕网络上所谓的“收费代装”服务,避免因远程协助导致电脑控制权直接易主。

敏感信息存储问题

在使用过程中,用户可能会将API密钥、账号信息等写入配置文件,若未采取加密或隔离存储措施,存在信息泄漏潜在风险,可能出现“一盗即空”的情况。

个人用户如何安全养“龙虾”?

针对上述情况,钟成建议个人用户在部署OpenClaw时可参考以下几点操作思路:

环境隔离

优先选择在虚拟机或闲置设备中部署,避免在存有核心商业机密或个人隐私的主力机上直接运行,通过环境隔离降低潜在风险。

权限控制

遵循最小权限原则,仅授予完成任务所必需的操作权限,避免部署时使用管理员账户,从而导致越权操作。

严控网络

不将OpenClaw暴露到公网,如需远程访问,采用SSH等加密通道,并严格限制访问来源。

插件审慎

尽量从官方渠道获取插件,对要求执行敏感操作(如解压、脚本运行、输入密码)的第三方插件保持警惕。

持续防护

及时关注项目官方发布的安全公告与版本更新,修复已知漏洞,并定期查看运行日志,掌握程序动态。

钟成谈到,开源AI工具的广泛使用能够助推技术应用创新,但用户在操作时仍应树立安全意识并执行相应防护措施。只有在部署环节多加留心,才能在使用过程中更加自如。小盾未来安全研究院将不断跟进AI安全应用,以专业能力为用户提供支持,携手打造安全、稳定的网络空间。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。

责任编辑：kj005

文章投诉热线:157 3889 8464  投诉邮箱:7983347 16@qq.com